Двухфакторная аутентификация
Двухфакторная аутентификация (2FA) добавляет к входу второй шаг: после пароля вы вводите одноразовый код на основе времени (TOTP) из приложения-аутентификатора. Даже если ваш пароль скомпрометирован, злоумышленник не сможет войти без сменяющегося кода на вашем устройстве.
2FA в StatusRadar — это стандартный TOTP (SHA-1, 6 цифр, период 30 секунд), и она работает с любым приложением-аутентификатором — Google Authenticator, Authy, 1Password, Microsoft Authenticator и другими.
Перед началом
Установите приложение-аутентификатор на телефон или в менеджер паролей. Все настройки 2FA находятся в Settings → Security (/dashboard/settings?tab=security).
Включение 2FA
- Перейдите в Settings → Security и запустите настройку 2FA (
/dashboard/settings/2fa/enable). - StatusRadar генерирует секрет и отображает QR-код вместе с секретом в текстовом виде. Отсканируйте QR-код приложением-аутентификатором или введите секрет вручную. Аккаунт появится в вашем приложении как
StatusRadar.dev:your@email. - Теперь ваше приложение показывает сменяющийся 6-значный код. Введите текущий код, чтобы подтвердить настройку.
- Если код верный, 2FA активируется, и StatusRadar один раз показывает ваши коды восстановления. Сохраните их перед продолжением.
Секрет настройки хранится только в вашей сессии до момента подтверждения. Если вы прервёте настройку, ничего не будет включено.
Подробности ручного ввода
Если вы не можете отсканировать QR-код, добавьте аккаунт вручную со следующими параметрами:
| Поле | Значение |
|---|---|
| Имя аккаунта | ваш email в StatusRadar |
| Издатель (Issuer) | StatusRadar.dev |
| Секрет | отображаемый base32-секрет |
| Тип | На основе времени (TOTP) |
| Цифры | 6 |
| Период | 30 секунд |
| Алгоритм | SHA-1 |
Коды восстановления
При включении 2FA StatusRadar выдаёт 8 одноразовых кодов восстановления в формате XXXX-XXXX. Используйте один из них вместо кода аутентификатора, если потеряете доступ к устройству.
A1B2-C3D4
E5F6-7890
...
Важные свойства:
- Показываются только один раз. Они отображаются сразу после включения 2FA (и после повторной генерации). Скопируйте их сразу — позже их нельзя получить, поскольку хранятся только хеши Argon2id.
- Одноразовые. Каждый код работает один раз. После использования кода при входе он расходуется и удаляется.
- Храните их офлайн. Идеально подойдёт менеджер паролей или распечатанная копия, хранящаяся в надёжном месте.
Повторная генерация кодов восстановления
Если у вас осталось мало кодов, вы их потеряли или подозреваете утечку, перегенерируйте их в Settings → Security. Повторная генерация аннулирует все предыдущие коды восстановления и выдаёт новый набор из 8 кодов, показываемых один раз. Секрет вашего аутентификатора не меняется — заменяются только резервные коды.
Вход с 2FA
- Введите email и пароль как обычно.
- Когда появится запрос, введите текущий 6-значный код из приложения-аутентификатора.
- Если устройства нет под рукой, выберите вместо этого код восстановления и введите один из неиспользованных кодов.
У вас есть ограниченное число попыток (5) на один вход, после чего проверка 2FA отменяется и нужно начинать вход заново. Код восстановления, использованный при входе, расходуется и не сработает повторно.
Отключение 2FA
Чтобы отключить 2FA, перейдите в Settings → Security и подтвердите действие паролем аккаунта. После отключения вход больше не требует кода, а все существующие коды восстановления удаляются. Повторное включение позже генерирует совершенно новый секрет и совершенно новый набор кодов восстановления.
Устранение неполадок
- «Invalid verification code» при настройке или входе — самая частая причина — расхождение часов. Убедитесь, что время на телефоне установлено в автоматический/сетевой режим. StatusRadar принимает текущий код плюс один шаг в каждую сторону (±30 с), поэтому небольшое расхождение допустимо, но большое приведёт к ошибке.
- Потеряны телефон и коды восстановления — без любого из них вы не сможете завершить вход. Обратитесь в поддержку для подтверждения владения и сброса 2FA.
- Использованы все коды восстановления — перегенерируйте новый набор в Settings → Security, пока у вас ещё есть доступ к аутентификатору.
Дальнейшие шаги
- Обзор безопасности аккаунта - Все средства защиты аккаунта
- Управление сессиями - Просмотр и отзыв активных сессий
- API-токены - Токены для программного доступа